为什么要严格代码和配置分离?
所以如果你的代码放在Github这样的外网,万一有一天代码不小心泄露了,你的密码、密钥等配置都暴露在了公网上,这是一件非常可怕的事情。
判断应用程序是否正确地将配置与代码分离的一种简单方法是,你的代码是否可以立即开源,而不必担心暴露任何敏感信息。
通常的做法是将应用程序的配置存储在环境变量中,例如在命令行中添加:
export APP_PASSWORD=123456
然后你通过环境变量加载APP_PASSWORD,例如:
import os
APP_PASSWORD_ENV = os.environ.get("APP_PASSWORD")
print(APP_PASSWORD_ENV)
这样一来,敏感信息就不会暴露给业务代码,同时也会最大限度地让开发者在正式环境中暴露敏感信息。
但是,这里出现了将敏感信息设置为环境变量的问题。如果这样的信息很多,一一设置就太麻烦了。
你肯定希望能够将这些敏感信息保存在单独的文件中,始终与代码分开管理。
例如,在一个flask项目中,我们将敏感信息放在一个名为.flaskenv. 示例 flaskenv 文件如下所示:
FLASK_DEBUG=1
FLASK_ENV=local
FLASK_USER=svc_user1
...
但是这些配置是如何加载到环境变量中的呢?你可以使用名为python-doten模块
安装 python-dotenv
要安装此模块,你可以使用pip:
$ pip install python-dotenv
Looking in indexes: https://pypi.python.org/simple
Collecting python-dotenv
Downloading python_dotenv-0.20.0-py3-none-any.whl (17 kB)
Installing collected packages: python-dotenv
Successfully installed python-dotenv-0.20.0
加载配置文件
如果你的应用程序从环境变量中获取配置,你必须自己设置这些环境变量。
为了帮助你解决这个问题,你可以添加Python-dotenv到你的应用程序以使其在.env文件存在时(例如在开发中)从文件加载配置,同时通过环境保持可配置性:
load_dotenv
from dotenv import load_dotenv
# 加载文件
load_dotenv(".flaskenv")
import os
flask_env = os.environ.get("FLASK_ENV")
print(flask_env) # local
加载文件后,可以通过os.environ.
默认情况下,load_dotenv不会覆盖现有的环境变量。
dotenv_values
dotenv_values 函数的工作方式或多或少与 load_dotenv 相同,只是它不接触环境,它只返回一个包含从 .env 文件解析的值的字典。
from dotenv import dotenv_values
config = dotenv_values(".env")
# config = {"USER": "foo", "EMAIL": "foo@example.org"}
如果使用 dotenv_values 函数,则可以避免导入 os 模块。
配置文件格式
一个示例.env文件类似于 BASH:
# 开发设置
DOMAIN=example.org
ADMIN_EMAIL=admin@${DOMAIN}
ROOT_URL=${DOMAIN}/app
注意:如果你在值中使用变量,请确保它们用符号{}包起来,例如${DOMAIN},因为$DOMAIN未扩展的裸变量。
键可以不加引号或单引号。值可以不加引号、单引号或双引号。忽略键、等号和值前后的空格。值后面可以跟注释。行可以以export指令开头,这对其解释没有影响。
允许的转义序列:
- 在单引号值中:\\,\'
- 在双引号中:\\, \', \", \a, \b, \f, \n, \r, \t,\v
配置最佳实践
我们将使用 Flask 作为我们的示例应用程序。在flask中,python-dotenv可以无缝集成到项目中,只要你的项目中有.envor.flaskenv文件,就会提示你是否安装python-dotenv:
$ flask run
* Tip: There are .env files present. Do "pip install python-dotenv" to use them.
安装完成后python-dotenv,里面的配置文件会自动加载到环境变量中。
# config.py
class LocalConfig(BaseConfig):
ENV = "development"
FLASK_DEBUG = 1
# 设置数据库 URI
SQLALCHEMY_DATABASE_URI = os.getenv("SQLALCHEMY_DATABASE_URI")
# app.py
def create_app():
app = Flask(__name__)
app.config .from_object(LocalConfig)
# view.py
def hello():
# 加载环境变量
os.environ.get("TEST_USER")
注意:你可能要添加.env到你的.gitignore.,特别是如果它包含密码等机密。
Django
如果你是 Django 用户,你仍然可以使用.env文件,只需将以下内容添加到你的settings.py文件中:
from dotenv import load_dotenv
load_dotenv() # 从 .env 加载配置...安全警告:将生产中使用的密钥保密!
SECRET_KEY = str(os.getenv('SECRET_KEY'))
# github 的社交身份验证配置
SOCIAL_AUTH_GITHUB_KEY = str(os.getenv('GITHUB_KEY'))
SOCIAL_AUTH_GITHUB_SECRET = str(os.getenv('GITHUB_SECRET'))
# 社交身份验证配置应用
SOCIAL_AUTH_GOOGLE_OAUTH2_KEY = str(os.getenv('APP_KEY'))
SOCIAL_AUTH_GOOGLE_OAUTH2_SECRET = str(os.getenv('APP_SECRET'))
如果你发现我的任何文章有帮助或有用,麻烦点赞或者转发。 谢谢!